Не нравятся результаты поиска? Попробуйте другой поиск!
dle-faq.ru FAQ (все вопросы) Общие вопросы Как сделать проверку капча при входе в админку?

Как сделать проверку капча при входе в админку?


     02.01.2015    Общие вопросы    1547

вопрос
Такая проблема, каждый день брутит админку какой-то человечек. В день по раз 40 наверное он пытается подобрать пароль, бан IP адресов ничего не дает, а ограничение по IP я поставиь не могу потому что я не смогу потом попасть в свой аккаунт. Спросите почему? Потому что хостер посчитал что нужно защитить сервак таким образом что всем пользователям сайта присваивались одинаковые IP адреса. Эту проблему решило подключение к сервису CloudFlare - сервис по защите от ддосов, но дело в том что теперь юзерам присваиваются IP этого сервиса(( Я придумал примитивную защиту - вывод капчи при авторизации в админпанеле, но как это сделать по коду я не знаю, хотелось бы услышать от знающих кодеров советы, или готовую реализацию. Заранее спасибо)

Ответа пока нет


Комментарии пользователей (8)

RadarWeb
11

99 | 24

RadarWeb - 2 января 2015 23:17 - Юзер

Делаешь подмену админки на фейковую страницу которая записывает ИП пытающегося войти, админку уводишь на другой адрес и радуешься. Фейковая админка есть на этом сайте - надо немного поискать - я выкладывал

Dimys1
13

Dimys1 - 2 января 2015 23:26 - Юзер

Проблема в том что оригинальную админку могут найти, т.к. я подозреваю что брутом занимается наш администратор которого пришлось выгнать за то что он не выполнял свои обязанности и творил всякую фигню на сайте. У него остались знакомые модераторы на моем сайте и я думаю написав им ЛС он сможет спросить адрес валидной админки и все начнется заново + я говорю что Банить IP мне нельзя ибо это адреса самого CloudFlare а значит выдав такой адрес другому человеку тот будет удивлен что сайт не доступен))

Kolya groza morey
30

301 | 95

Kolya groza morey - 3 января 2015 09:47 - Юзер

Цитата: Dimys1
У него остались знакомые модераторы на моем сайте и я думаю написав им ЛС он сможет спросить адрес валидной админки

Тогда нужно начать с крупной зачисти кадров

Dimys1
13

Dimys1 - 2 января 2015 23:26 - Юзер

Я просто хочу затруднить брутфорс, бань, не бань, есть прокси которыми человек спокойно может воспользоваться и продолжить гадить(

Serik
4

408 | 191

Serik - 3 января 2015 09:14 - Местный

В настройках безопасности есть пункт "Максимальное количество ошибочных авторизаций" . Ставите "1" .

Можно ещё и время с 20 минут на 200 поменять...

СПАСИБО надо тыкать в кнопку!

Dimys1
13

Dimys1 - 3 января 2015 10:03 - Юзер

1. Имя админки менял, но т.к. есть знакомые смысла не вижу постоянно менять.
2. Если я выставлю количество ошибочных авторизаций 1 я буду постоянно забанен на 20 минут (причину объяснял)
3. Зачистив кажры у меня не останется работников, которые будут наполнять сайт)
Я считаю что брутят примитивным ботом который не сможет обойти каптчу, на крайняк хотелось бы поставить каптчу с сборкой изображений. чтобы с помощью антигейта ее обойти не смогли.

Dimys1
13

Dimys1 - 3 января 2015 10:06 - Юзер

Думаю реализовать такую штуку, если не найду ответ на свой вопрос)

Для реализации этого способа необходимо придумайть себе "еще" один логин и пароль для входа в админку. Второй логин и пароль должен в корне отличаться от первого (чтобы исключить вариант подбора пароля и пароля). Не нужно регистрировать "второй логин и пароль" на сайте.

Заходим на сайт md5encryption.com, в пустое поле вставляем наш второй выдуманный пасс и жмакаем кнопку "Ecrypt It!". На выходе получаем пароль в кодировке md5.
1) Открываем файл admin.php и после строк

================================================== ===
Файл: admin.php
-----------------------------------------------------
Назначение: админпанель
================================================== ===
*/


Добавляем:
$login="ваш_придуманый_второй_логин";
$password="второй пароль в кодировке md5";
if (!isset($_SERVER['PHP_AUTH_USER']) || $_SERVER['PHP_AUTH_USER']!==$login || md5($_SERVER['PHP_AUTH_PW'])!==$password) {
header('WWW-Authenticate: Basic realm="Admin Panel"');
header('HTTP/1.0 401 Unauthorized');
exit("Access Denied");}


2) Сохраняем результат на сервере и идём в админку. Теперь для входа в админку нужно будет пройти двойную авторизацию. Первая панель авторизации от DLE , а вторая добавлена вами.

Установка закончена !

Sander
1126

1637 | 1204

Sander - 4 января 2015 14:25 - Эксперт

Тогда уж вам надо не только админку защищать, но и сам сайт. У сайта и у админки единая авторизация.
Т.е. ему нет разницы куда пароль подбирать.

PS. Не понимаю в чем смысл вешать всех посетителей на 1 IP. Это же куча неудобств...
Да и о какой защите может идти речь, если нет возможности различать посетителей. Нет возможности заблокировать злоумышленника.

SanDev.pro - мой блог.

ICQ: 404-037-556
Skype: Sander8804

Чтобы комментировать - войдите или зарегистрируйтесь на сайте

Похожие вопросы